Правоохранительные органы совместно с ESET ликвидировали деятельность трояна. Но надолго ли?
В ходе совместной операции компании ESET и Федеральной полиции Бразилии были предприняты действия по пресечению деятельности ботнета Grandoreiro, в результате которой жертвы пострадали на сумму $3,9 млн.
По данным полиции, было исполнено 5 временных ордеров на арест и 13 ордеров на обыск и изъятие в штатах Сан-Паулу, Санта-Катарина, Пара, Гояс и Мату-Гроссу в Бразилии. Расследование началось после информации от одной из жертв банды, испанского банка Caixa Bank, который идентифицировал разработчиков и операторов вредоносного ПО в Бразилии.
В последней атаке Grandoreiro хакеры отправляли фишинговые электронные письма, замаскированные под повестки в суд или счета-фактуры, чтобы получить доступ к устройствам жертв. Вредоносное ПО Grandoreiro позволяет блокировать экран жертвы, регистрировать нажатия клавиш, имитировать действия мыши и клавиатуры, транслировать экран жертвы и выводить поддельные всплывающие окна.
ESET предоставила технический анализ, статистические данные, а также информацию о доменных именах и IP-адресах серверов управления и контроля (Command and Control, C2). Благодаря выявленному недостатку в сетевом протоколе Grandoreiro, исследователи ESET смогли получить информацию о жертвах атаки.
Системы ESET обработали десятки тысяч образцов Grandoreiro. Используемый с октября 2020 года алгоритм генерации доменов (Domain Generation Algorithm, DGA) создает один основной и несколько резервных доменов в день. Операторы Grandoreiro использовали облачные сервисы Azure и AWS для размещения своей сетевой инфраструктуры. Исследователи ESET предоставили данные, позволившие идентифицировать аккаунты, использованные для настройки серверов, что в итоге привело к аресту лиц, управляющих серверами.
Grandoreiro существует с 2017 года, целенаправленно атакуя банковские системы Латинской Америки, включая Бразилию, Мексику и с 2019 года – Испанию. С 2023 года наблюдается смещение фокуса атак на Мексику и Аргентину.
В феврале 2022 года операторы Grandoreiro добавили идентификатор версии в свои программы. Например, с февраля по июнь 2022 года в среднем каждые 4 дня появлялась новая версия. Исследования показали, что Grandoreiro не работает по модели «вредоносное ПО как услуга» MaaS (Malware-as-a-Service), а скорее управляется одной или несколькими тесно сотрудничающими группировками.
Исследователи ESET выявили, что C2-серверы Grandoreiro раскрывают информацию о жертвах. Данные, полученные от серверов, показывают, что большинство жертв использовали операционные системы Windows, наибольшее количество атак приходилось на Бразилию, Мексику и Испанию.
Благодаря долгосрочному отслеживанию и анализу деятельности Grandoreiro, ESET смогла внести значительный вклад в операцию по его пресечению. В компании продолжают внимательно следить за активностью других банковских троянов, нацеленных на Латинскую Америку, а также за возможным возобновлением деятельности Grandoreiro после операции правоохранительных органов.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.gov.br/pf/pt-br/assuntos/noticias/2024/01/pf-combate-organizacao-criminosa-que-praticava-fraudes-bancarias-eletronicas-contra-vitimas-no-exterior</pre>